研究人員發(fā)現(xiàn)谷歌、Cloudflare等知名網(wǎng)站的網(wǎng)頁HTML源碼中都以明文形式保存密碼，惡意擴展可從中提取明文密碼。威斯康星大學麥迪遜分校研究人員在Chrome應(yīng)用商店上傳了惡意擴展PoC，成功從網(wǎng)站源碼中竊取明文密碼。

問題產(chǎn)生的根源

由于Chrome擴展和網(wǎng)站元素之間缺乏安全邊界，瀏覽器擴展對網(wǎng)站源碼中的數(shù)據(jù)具有無限制的訪問權(quán)限，因此有機會從中提取任意內(nèi)容。此外，Chrome瀏覽器擴展可能濫用DOM API直接提取用戶輸入的值，繞過網(wǎng)站使用的混淆技術(shù)來保護用戶敏感輸入。

谷歌Chrome引入的Manifest V3協(xié)議被許多瀏覽器采用，限制了API濫用，防止瀏覽器擴展提取遠程保存的代碼，防止使用eval來實現(xiàn)任意代碼執(zhí)行。研究人員分析發(fā)現(xiàn)Manifest V3并未在擴展和web頁面之間引入安全邊界。

圖 擴展和網(wǎng)站之間的安全邊界

上傳PoC到Chrome擴展商店

為測試谷歌的Chrome擴展商店審查過程，研究人員創(chuàng)建了一個可以發(fā)起密碼竊取攻擊的Chrome擴展，并將該擴展上傳到平臺。該擴展的功能是一個基于GPT的助手，可以：

· 獲取用戶登錄頁面的HTML源碼；

· 濫用CSS選擇器來選擇目標輸入字段，使用.value函數(shù)提取用戶輸入；

· 通過元素替換使用不安全的密碼字段來替換基于JS的混淆字段；

圖 提取字段內(nèi)的代碼（左）和執(zhí)行元素替換（右）

該擴展并不包含明顯的惡意代碼，因此可以繞過靜態(tài)檢測，并且不會從外部源提取代碼，所以是支持Manifest V3的。因此，該擴展通過了審查，并被應(yīng)用商店上架。

漏洞利用

隨后的實驗數(shù)據(jù)發(fā)現(xiàn)，前1萬個網(wǎng)站中有1100個在HTML DOM中明文保存了用戶密碼。其他7300個網(wǎng)站也易受到DOM API訪問和用戶數(shù)據(jù)直接提取攻擊。

圖 受影響的網(wǎng)站

一些知名網(wǎng)站缺乏安全保護的網(wǎng)站包括：

• gmail.com – HTML源碼中明文保存密碼
• cloudflare.com –HTML源碼中明文保存密碼
• facebook.com – 通過DOM API提取用戶輸入
• citibank.com –通過DOM API提取用戶輸入
• irs.gov – 網(wǎng)頁源碼中明文保存SSNs
• capitalone.com –網(wǎng)頁源碼中明文保存SSNs
• usenix.org –網(wǎng)頁源碼中明文保存SSNs
• amazon.com – 頁面源碼明文保存信用卡信息和郵政編碼

圖 Gmail和Facebook也受到用戶輸入提取攻擊影響

研究發(fā)現(xiàn)有190個擴展可以直接訪問密碼字段，并保存了字段的內(nèi)容，表明有開發(fā)者可能已經(jīng)利用了該安全漏洞。

廠商回應(yīng)

Amazon稱，客戶安全非常重要，將采取措施對用戶輸入進行保護，輸入亞馬遜網(wǎng)站的用戶信息是安全的。此外，鼓勵瀏覽器和擴展開發(fā)者使用亞馬遜提供的服務(wù)采用安全最佳實踐來保護用戶數(shù)據(jù)。谷歌發(fā)言人稱將開始調(diào)查這一問題。但Chrome擴展的安全問答并不認為訪問密碼字段是安全問題。

論文下載地址：https://arxiv.org/abs/2308.16321

本文翻譯自：https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/如若轉(zhuǎn)載，請注明原文地址